Zistite, ako program bug bounty od inDrive posilňuje kybernetickú bezpečnosť spoluprácou s bielymi hackermi na odhalení zraniteľností a optimalizácii bezpečnostných procesov.

Úvod

Vo svete, kde digitálne technológie prenikajú do každého aspektu nášho života, je kybernetická bezpečnosť prvoradá. Spoločnosti po celom svete veľa investujú do ochrany svojich údajov a systémov pred kybernetickými hrozbami. Jednou z najúčinnejších metód posilnenia bezpečnosti je spolupráca s nezávislými bezpečnostnými expertmi, známymi aj ako „hackeri s bielym klobúkom“.

Tento článok bude užitočný pre spoločnosti, ktoré plánujú spustiť program bug bounty alebo ho už spustili. Podelíme sa o naše skúsenosti s organizovaním a vývojom programu odmeny za chyby na inDrive a o tom, ako pomohol posilniť našu kybernetickú bezpečnosť.

Chceli by sme tiež upozorniť, že by ste sa nemali obmedzovať len na bug bounty program, pretože to nie je všeliek na vyriešenie všetkých bezpečnostných problémov. Bug bounty vám môže pomôcť identifikovať niektoré zraniteľnosti, ale nepokrýva celú škálu možných hrozieb. Musíte zaujať komplexný prístup k bezpečnosti, ktorý zahŕňa použitie rôznych bezpečnostných nástrojov a techník.

Ako ukazuje graf nižšie, rôzne nástroje zisťujú rôzne počty zraniteľností, čo zdôrazňuje dôležitosť kombinovania metód, ako sú automatické skenery, statická a dynamická analýza kódu, bezpečnostné audity a školenia zamestnancov.

Začiatok

Náš bug bounty program spočiatku fungoval v uzavretom režime. To nám umožnilo kontrolovať tok bughunterov, postupne rozposielať pozvánky a sledovať výsledky. Tento prístup nám dal možnosť potichu ladiť a zlepšovať interné procesy. Vďaka tomu sme sa mohli pripraviť na zverejnenie.

Integrácia a triedenie

Identifikácia zraniteľností v programe odmeny za chyby je kľúčovým krokom. Používame automatickú integráciu so Slack a Jira, aby bol tento proces rýchly a efektívny.

Slack

Používame dva kanály:

• Hlavný kanál na komunikáciu kľúčových udalostí pri spracovaní reportov. To zahŕňa upozornenia na nové správy, priradenia úloh technikom a žiadosti o sprístupnenie zraniteľnosti. Tento kanál umožňuje tímu mať vždy prehľad o kritických udalostiach.

• Ďalší kanál je určený pre zamestnancov zapojených do počiatočnej analýzy a triedenia správ. Sem sa odosielajú upozornenia na činnosti, ktoré nie sú naliehavé, ako sú komentáre k správam a podrobnosti o triedení.

Priraďovanie účtov

Nastavenie mapovania medzi používateľmi HackerOne a Slack zaisťuje, že dôležité komentáre a poznámky k správam sa doručia priamo zodpovedným stranám, čím sa minimalizuje riziko chýbajúcich dôležitých informácií. To zjednodušuje komunikáciu medzi bezpečnostným tímom inDrive a výskumníkmi a umožňuje efektívnejšiu nápravu zraniteľnosti.

Jira

Integrácia s Jira vám umožňuje vytvoriť úlohu iba na správnom mieste so špecifickým súborom polí. Pomocou funkcie Jira Automation sme vytvorili vlastné pravidlá spracovania úloh, aby sme zlepšili naše interné procesy spracovania zraniteľností, čo nám umožňuje efektívne organizovať tento proces. Nižšie je uvedený príklad tejto automatizácie:

• Found By Automation: Systém automaticky vyplní pole Found By hodnotou bug bounty, ktorá označuje pôvod úlohy pre analýzu.

• Priradenie úloh: Pomocou pravidiel sa úloha automaticky pridelí inžinierovi, čím sa zabezpečí rovnomerné rozloženie práce.

• Oznámenia Slack: Keď je úloha priradená, Slacku sa odošle hlásenie, v ktorom sa spomína inžinier a poskytujú všetky potrebné informácie.

Pre kritické zraniteľnosti:

• Správy na vyhradený kanál Slack: Oznámenie o kritickej zraniteľnosti sa odosiela na samostatný kanál na okamžitú odpoveď.

• Odosielanie SMS správ: Okrem toho sú zodpovedným osobám zasielané SMS notifikácie.

Boj proti spamu pomocou spúšťačov

Spúšťače v HackerOne sú výkonný nástroj, ktorý vám umožňuje automatizovať rôzne akcie v reakcii na určité udalosti súvisiace s novými správami o zraniteľnosti. Výrazne zjednodušujú prácu bezpečnostného tímu a pomáhajú optimalizovať proces odpovedí na hlásenia.

Napríklad pri zmene značky spoločnosti z inDriver na inDrive sme sa často stretávali so správami o problémoch s účtami na sociálnych sieťach.

Spúšťač sme prispôsobili nasledovne:

• Spúšťacia podmienka: Ak správa obsahuje slová zo zoznamu: médiá, sociálne siete, Facebook, Twitter, Instagram.

• Spustiť akciu: Keď sa zistí špecifikovaný stav, výskumníkovi sa automaticky zobrazí kontextové okno s nasledujúcim varovným textom: „Ahoj, zdá sa, že sa chystáte nahlásiť problém s odkazmi na sociálne siete (Instagram, Twitter, Facebook ). Naša spoločnosť je v procese rebrandingu a sme si vedomí tohto problému. Dočasne neprijímame hlásenia o tomto probléme, preto vás vyzývame, aby ste problém riadne uznali a oboznámili sa s bezpečnostnými zásadami skôr, ako budete pokračovať a odošlete hlásenie.“

Pomáha to nielen znížiť počet nevhodných správ, ale aj vzdeláva výskumníkov a zlepšuje kvalitu budúcich správ.

Kampaň a telegramový kanál

Pochopili sme, že časom sa aktivita v programe zníži. Ide o prirodzený proces vzhľadom na skutočnosť, že najzreteľnejšie slabé miesta už boli nájdené a odstránené a prilákanie pozornosti výskumníkov si opäť vyžaduje ďalšie úsilie. Aby sme udržali vysokú mieru zapojenia a záujmu o náš program, prijali sme niekoľko opatrení.

Jedným z kľúčových nástrojov bol náš špecializovaný kanál Telegram pre lovcov chýb. Tento kanál slúži nielen ako komunikačný prostriedok, ale aj ako platforma na zdieľanie užitočných informácií. Aktívne zdieľame informácie o našej aplikácii a poskytujeme materiály, ktoré môžu výskumníkom pomôcť nájsť slabé miesta v našich službách. Môže ísť o technickú dokumentáciu, popisy nových funkcií alebo architektonické zmeny, ktoré môžu byť zaujímavé z hľadiska bezpečnosti.

Hlavné výhody nášho telegramového kanála:

• Oficiálne aktualizácie: Priame a spoľahlivé správy od bezpečnostného tímu inDrive.
• Oznámenia o nových funkciách: Informácie o nových službách a funkciách, ktoré môžu byť zaujímavé pre nadšencov bug bounty.
• Propagačné akcie a udalosti: Informácie o špeciálnych ponukách a udalostiach súvisiacich s programom bug bounty.

Viac informácií o kanáli nájdete po kliknutí na odkaz — https://t.me/indrive_bbp.

Okrem toho, aby sme prilákali nových aj skúsených bughunterov, pravidelne spúšťame kampane na platforme HackerOne. Kampane nám umožňujú podnietiť záujem bughunterov o náš program. Všetky spustenia kampane oznamujeme aj prostredníctvom nášho telegramového kanála, ktorý nám umožňuje rýchlo sprostredkovať informácie publiku a povzbudiť ich k účasti.

Nižšie sú napríklad štatistiky z jednej z kampaní:

Tieto opatrenia nám umožňujú udržiavať záujem o bugbounty program na vysokej úrovni a zabezpečujú neustály tok nových nápadov a zistení, čo v konečnom dôsledku prispieva k zlepšeniu bezpečnosti našich produktov.

Naše tipy vám pomôžu výrazne skrátiť čas potrebný na každú fázu spracovania zraniteľnosti – od času po prvú reakciu až po triedenie po odmenu.

A to zase zvýši dôveru a spokojnosť lovcov chýb, ktorí sa zúčastňujú vášho programu.

Na záver, naše skúsenosti s organizáciou a vývojom bug bounty programu v inDrive sú názorným príkladom toho, ako môže najímanie externých bezpečnostných expertov výrazne posilniť kybernetickú obranu spoločnosti. Vďaka našej komunite hackerov white hat sa nám podarilo nielen identifikovať a opraviť mnohé zraniteľnosti, ale aj optimalizovať naše interné procesy, čo zvýšilo našu efektivitu a zlepšilo ochranu našich systémov a údajov.

Ďakujeme všetkým účastníkom nášho bug bounty programu za ich neoceniteľný príspevok k bezpečnosti inDrive a pozývame nových výskumníkov, aby sa pripojili k našej komunite. Spoločne urobíme digitálny svet bezpečnejším!